רשימה לבנה למשתמש בודד
-
@ליכט כמה הם מתוחכמים?
אפשר להפנות את כל התעבורה לקובץ פרוקסי על המחשב, ולהחריג רק את הכתובות הספציפיות.
ובגלל שאין על המחשב באמת פרוקסי, אז רק מה שברשימה הלבנה יעבוד, והשאר לא.
זה מיועד רק למשתמשים לא מתוחכמים. (אחרת הם יוסיפו כתובות, או יעיפו את הגדרות הפרוקסי)
ואפשר כמובן לעשות לכל משתמש קובץ אחר
מבנה קובץ לדוגמא: (סיומת JS בד"כ)function FindProxyForURL(url, host) { if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") || isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") || isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") || isInNet(dnsResolve(host), "127.0.0.0", "255.0.0.0")) return "DIRECT"; if (host == "ttttttttttttttt.co.il") return "DIRECT"; if (host == "ws101.pelecard.biz") return "DIRECT"; if (host == "955.co.il") return "DIRECT"; return "SOCKS 127.0.0.1:1080"; }
פשוט תעתיק את התנאים ותשנה לפי הצורך
-
@dovid
אם זה נעילה בREG אז זה בHKEY_CURRENT_USER ואת זה כן המשתמש יכול לשנות גם אם הוא לא אדמין.אם זה GPO אז אתה צודק בהחלט
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור -
@dovid אמר ברשימה לבנה למשתמש בודד:
אני חושב שהרעיון שלך כן טוב גם למתחכמים...
אולי אני טועה.אולי...
אם מדובר במתחכמים לא הייתי סומך על זה. זה גדר מלאכותי לגמרי.
(ואם בגדרים מלאכותיים עסקינן, אפשר לעשות משהו דומה על ידי הגדרת DNS לא תקין, ולהוסיף את הרשימה הלבנה לקובץ ה-hosts)א. לעשות את הגדרות הפרוקסי דרך הGPO
אם הגלישה הוא דרך כרום צריך גם לעשות להגדיר policy בנפרד עבור כרום ולא יעזור הפוליסה המובנה של ווינדוס.
לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקס
נראה לי שבזה טמון החולשה העיקרית.
@clickone אמר ברשימה לבנה למשתמש בודד:
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
חסימת גישה ל-REG וכו' לא ממש יעיל מול "מתחכם"
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור
למפתחי רג'יסטרי יש הרשאות בצורת ACL בדומה לקבצים. בתיאוריה (ומסתבר שגם בפועל) זה אמור להיות בטוח לגמרי (מול משתמש שאינו מנהל). (אם מצאת פירצה בזה, אתה זכאי לקבל כ ס ף ממייקרוסופט)
(ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
מהיכ"ת?
-
@ליכט הכי קל להגדיר proxy ל-127.0.0.1 ולעשות מה ש@upsilon01 הציע
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
כל זה בהנחה שהתשתמשים לא ידעו לשנות הגדרות פרוקסי.
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר.